npm 包 express-jwt-policies 使用教程-JavaScript中文网-JavaScript教程资源分享门户

简介

express-jwt-policies 是一个 Node.js 的 npm 包，用于在 Express 框架中处理基于 JWT 的权限控制。该包提供了一种简单、可扩展的方法来实现复杂的策略，并且易于与 JSON Web Token (JWT) 一起使用。

在本教程中，我们将介绍如何使用 express-jwt-policies。我们将详细介绍如何安装、配置和使用该包，并通过一个完整的示例代码来演示如何在一个基于 Express 的应用程序中，使用 jwt 和 express-jwt-policies 来实现权限控制。

安装

首先，让我们通过以下命令来安装 express-jwt-policies 包：

npm install express-jwt-policies

配置

在使用 express-jwt-policies 之前，我们需要进行一些配置工作，以确保我们的应用程序能够使用这个包来实现权限控制。

首先，我们需要安装依赖库 jsonwebtoken 和 passport-jwt，以便 express-jwt-policies 能够使用它们来处理 JWT。

npm install jsonwebtoken passport-jwt

接下来，我们需要在我们的应用程序中使用 passport 和 passport-jwt 来处理验证和鉴权。这里是一个简单的示例：

-- -------------------- ---- -------
----- -------- - --------------------
----- ----------- - ---------------------------------
----- ---------- - -----------------------------------

-------------
  --- ------------
    -
      ------------ ------------------
      --------------- -----------------------------------------
    --
    ------------ ----- -- -
      ------ ---------- ------------
    -
  -
--

在这个示例中，我们创建了一个 JWTStrategy 对象，并使用 ExtractJWT.fromAuthHeaderAsBearerToken() 方法来提取 JWT。接下来，我们将 JWT 的内容返回给 done 回调函数。

这样我们就完成了 passport 和 passport-jwt 的配置，现在我们可以开始使用 express-jwt-policies 了。

使用

在我们的 Express 应用程序中，我们可以使用 express-jwt-policies 包来创建和处理策略。使用该包有两个主要步骤：

创建策略
应用策略

首先，我们需要创建策略。这里是一个创建策略的示例代码：

-- -------------------- ---- -------
----- ----------- - --------------------------------

----- ------ - --------------------------
  ----- -----------
  ------------ -------
  ------ ----------
  ------------------------- -------- ----- ---- -
    ------ ---
      ------------
      ------- -------- ---- --- --- ---------- -- ------ ---- --------- ---
  --
---

在这个示例中，我们使用 jwtPolicies.policyHelper() 创建了一个名为 is_admin 的策略。同样，我们可以创建多个策略。

接下来，我们要将策略应用到我们的路由中。这里是一个应用策略的示例代码：

-- -------------------- ---- -------
----- ------- - -------------------
----- --- - ----------
----- ------ - -----------------
----- ----------- - --------------------------------

-----------
  ---------
  ---------------------
  --------------------------------------
  ----- ---- -- -
    ---------- -------- ------ ----- ---
  -
--

在这个示例中，我们使用 checkJwt 中间件来验证 JWT。接下来，我们使用 enforcePolicy 中间件来应用我们创建的策略 is_admin。只有当用户的角色匹配策略所定义的角色时，该路由才会被访问。

最后，我们使用 router.get() 方法定义了一个访问 /admin 路径的路由，该路由只有在策略 is_admin 被满足时才会被访问。

完整示例代码

下面是一个完整的示例代码，它演示了如何使用 express-jwt-policies 包来实现基于 JWT 的权限控制：

-- -------------------- ---- -------
----- ------- - -------------------
----- --- - ----------
----- ------ - -----------------
----- --- - ------------------------
----- -------- - --------------------
----- ----------- - ---------------------------------
----- ---------- - -----------------------------------
----- ----------- - --------------------------------

----- ----- - -
  ------ -
    --------- --------
    ----- --------
  --
  ----- -
    --------- -------
    ----- -------
  --
--

-------------
  --- ------------
    -
      ------------ ------------------
      --------------- -----------------------------------------
    --
    ------------ ----- -- -
      ------ ---------- ------------
    -
  -
--

---------------------------- --------- ----- ----
------------------------
-------------------------------

--------------------- ----- ---- -- -
  ----- - --------- -------- - - ---------
  ----- ---- - ----------------

  -- ------- -
    ------ ---------------------- -------- -------- -------- -- --------- ---
  -

  -- --------- --- ----------- -
    ------ ---------------------- -------- -------- -------- -- --------- ---
  -

  ----- ----- - -------------- ------------------ -
    ---------- -----
  ---

  ------ ---------- ----- ---
---

----- ------ - --------------------------
  ----- -----------
  ------------ -------
  ------ ----------
  ------------------------- -------- ----- ---- -
    ------ ---
      ------------
      ------- -------- ---- --- --- ---------- -- ------ ---- --------- ---
  --
---

-----------
  ---------
  ---------------------
  --------------------------------------
  ----- ---- -- -
    ---------- -------- ------ ----- ---
  -
--

------------------- --------------------- ----- ---- -- -
  ---------- -------- ----- ----- ---
---

------------ --------

---------------- -- -- -
  ------------------- ------- -- ---- -------
---

这个示例创建了一个基于 Express 的应用程序，它有两个路由：/admin 和 /user。/admin 路由只有当用户是管理员时才能访问。/user 路由对所有用户都可访问。

该应用程序使用 passport、passport-jwt 和 jsonwebtoken 来通过 JWT 处理验证和授权。它也使用了 express-jwt-policies 包来创建和应用策略。

在示例代码中，我们首先创建了一些用户，并使用 POST /login 路由来模拟登录过程。只有当用户提供有效的用户名和密码时，服务器才会返回一个 JWT。

接下来，我们创建了策略 is_admin，它只允许拥有 role 属性为 admin 的用户访问。最后，我们定义了 /admin 和 /user 路由，并使用 checkJwt 和 enforcePolicy 中间件来应用我们创建的策略。

总结

在本教程中，我们介绍了如何使用 express-jwt-policies 包来实现基于 JWT 的权限控制。我们演示了如何创建和应用策略，并提供了一个完整的示例代码来演示该包如何在一个基于 Express 的应用程序中使用。

使用 express-jwt-policies 包，我们可以轻松地实现复杂的权限控制逻辑，以确保我们的应用程序和数据受到保护。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/6005681581e8991b448e4381